一、投标人资质要求-河北联合大学附属医院.docVIP

一、投标人资质要求 营业执照（注册资金100万及以上）、税务登记证、组织机构代码证、具备省级信息安全等级保护工作协调领导小组办公室颁发的《信息安全等级保护测评机构推荐证书》。 二、项目概述 1、项目概况 信息系统等级测评主要针对全院HIS专网的的运行环境、应用架构、网络结构、安全控制、运行维护、操作规程、信息安全保障体系等各个环节做一次全面的评测分析。通过评测，分析定位信息系统安全风险和薄弱环节，制定信息系统安全风险管理策略，健全信息安全管理和保障体系，完善规章制度和操作流程。 本次测评涉及系统如下：华北理工大学附属医院HIS拟定级别为第三级（S3A3G3）： 信息系统名称 安全保护等级 业务信息安全（S） 系统服务安全(A) 华北理工大学附属医院HIS系统 第三级 第三级 第三级 测评范围为全院，并包含分院，以及各派出门诊。 2、特别说明 本招标文件中的所有内容仅供投标人了解对信息系统安全等级测评项目实施的要求所用，所有权属于，未经的许可，投标人不得以任何形式将有关的内容透露给任何第三方，同时，投标人同意采取有效措施，保证其接触本文件的人员不得对外披露和散布本文件涉及的有关信息和内容。 3、测评目的 本招标的宗旨在于通过对被测系统物理环境、网络设备、服务器群以及应用软件系统实施等级保护测评，明确该系统的安全建设现状，找出存在的安全风险，分析安全建设差距，提出安全整改建议，并以此为基础，进一步制定安全建设整改方案，完善保护措施，使该系统满足我国关于等级保护相应级别的具体要求，增加信息系统安全的规范性和有效性，提高的安全意识，增强网络的抗攻击的能力，保证被测系统正常运转。 三、信息系统安全等级保护技术要求 3.1信息系统备案 协助按照《信息安全等级保护备案实施细则》（公信安[2007]1360号）文件要求完成定级、备案材料的整理及在公安机关相关部门备案工作。 3.2初次测评 通过对系统现状的分析和梳理，发现系统现有安全措施与等级保护基本要求的差距，提出安全整改建议，以指导后续安全整改工作。 测评内容： 物理环境测评：包括位置、访问控制、防盗窃防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电磁防护等内容。 网络系统测评：包括网络架构、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、网络恶意代码防范、网络设备防护等内容。 主机与数据库测评：身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等内容。 应用系统测评：包括应用系统身份鉴别、应用系统访问控制、应用系统安全审计、剩余信息保护、通信完整性、通信必威体育官网网址性、抗抵赖、软件容错、资源控制等内容。 数据及备份恢复测评：包括数据完整性、数据必威体育官网网址性、备份和恢复等内容。 安全管理测评：涵盖管理制度、管理机构、人员管理、系统建设管理、系统运维管理等方面。 3.3信息系统安全建设整改 协助按照《信息安全等级保护管理办法》（公通字[2007]43号）、《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）等有关管理规范和技术标准，制定安全管理制度、落实安全责任，建议安全技术设施，落实安全技术措施。 通过安全建设整改，确保信息系统通过相应级别的安全等级评测。 3.4二次测评 此阶段是等级测评完整实施阶段，通过对整改后的系统进行分析和梳理，再次实施等级测评，记录访谈检查结果，进行综合分析，梳理安全风险，提出安全整改建议，编制测评报告。 3.5测评对象 本系统测评的测评对象包括以下几类： 1．主机房（包括其环境、设备和设施等）和部分辅机房，应将放置了服务于信息系统的局部（包括整体）或对信息系统的局部（包括整体）安全性起重要作用的设备、设施的辅机房选取作为测评对象； 2．办公场地； 3．整个系统的网络拓扑结构； 4．安全设备，包括防火墙、入侵检测设备和防病毒网关等； 5．边界网络设（可能会包含安全设备），包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等； 6．对整个信息系统或其局部的安全性起作用的网络互联设备，如核心交换机、汇聚层交换机、路由器等； 7存储被测系统重要数据的介质的存放环境； 8.承载被测系统主要业务或数据的服务器（包括其操作系统和数据库）； 9管理终端和主要业务应用系统终端； 10．能够完成被测系统不同业务使命的业务应用系统； 11．业务备份系统； 12．信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人； 13．涉及到信息系统安全的所有管理制度和记录。 3.6参照标准 投标人应依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准： 《计算机信息系统安全保护等级划分准则》（GB17859-1999） 《信息系统安全保护等级定级指南》（